Enligt Emil Olofsson på Integrity360 är det därför viktigt att hålla två perspektiv i huvudet samtidigt. Han menar att uppgifterna mycket väl kan stämma, men att det fortfarande finns många frågetecken kring hur resultaten ska tolkas och vilken praktisk betydelse de har i dagsläget.
Det råder dock liten tvekan om riktningen. Utvecklingen kring Mythos illustrerar hur AI i allt högre grad kan ta över stora delar av det arbete som tidigare varit manuellt och tidskrävande inom offensiv cybersäkerhet. Kartläggning av attackytor, identifiering av sårbarheter och testning av möjliga angreppsvägar kan i ökande utsträckning automatiseras. Det innebär att tröskeln för avancerade angrepp riskerar att sänkas, särskilt för organisationer som redan har brister i sitt säkerhetsarbete.
Kostnadsaspekten är central
Samtidigt betonar Emil Olofsson att resultaten måste sättas i sitt sammanhang. Enligt tillgänglig dokumentation har Mythos körts under förhållanden som skiljer sig markant från verkliga angreppsscenarier. Det handlar om mycket stora beräkningsresurser, borttagna säkerhetsbegränsningar och möjligheten att låta systemen testa samma angrepp om och om igen. Han beskriver det som ett kontrollerat experiment snarare än en direkt spegling av hur hotaktörer opererar i dag, där både resurser och kostnader sätter tydliga begränsningar.
Just kostnadsaspekten är central. Ett exempel som lyfts i diskussionen är en äldre sårbarhet som enligt uppgift kostade omkring 20 000 dollar att identifiera. Det visar att kapaciteten fortfarande är resurskrävande och att kontexten spelar stor roll. Sårbarheten återfanns i ett open source-projekt utan formella incitament, vilket väcker frågan om den hade upptäckts lika snabbt i en kommersiell miljö med etablerade säkerhetsprocesser och incitamentsstrukturer.
En annan aspekt som lyfts är vad som händer om den här typen av teknik får bred spridning. Många organisationer har redan i dag svårt att hantera kända sårbarheter i den takt de upptäcks. Om AI kraftigt ökar mängden identifierade brister kan resultatet på kort sikt bli det motsatta mot vad som eftersträvas, nämligen en ökad riskbild där säkerhetsskulden växer snabbare än den kan åtgärdas.
En signal om vart utvecklingen är på väg
I slutändan handlar utvecklingen mindre om en enskild modell och mer om ett skifte i hela cybersäkerhetslandskapet. Organisationer som redan har integrerat säkerhet i sina utvecklings- och driftprocesser står bättre rustade när tempot ökar. För andra riskerar utvecklingen att innebära att de hamnar längre efter och blir mer attraktiva mål i en miljö där angrepp kan skalas upp med hjälp av AI.
Mythos framstår därmed inte som en omedelbar systemkris, men väl som en tydlig signal om vart utvecklingen är på väg. För säkerhetsbranschen innebär det att fokus i allt högre grad behöver ligga på förmågan att hantera volym, tempo och komplexitet, snarare än enbart på att upptäcka enskilda hot.
